7月信息安全技術(shù)測試題與參考答案一、單選題（共30題，每題1分，共30分）1.試題：下列關(guān)于身份認(rèn)證的描述中，錯誤的是()。A:生物特征識別技術(shù)是目前身份認(rèn)證技術(shù)中最常見、最安全的技術(shù)B:基于動態(tài)口令認(rèn)證的方式主要有動態(tài)短信密碼和動態(tài)口令牌(卡)兩種方式，口令一次一密，大大提高了安全性C:身份認(rèn)證協(xié)議分為單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議D:靜態(tài)密碼機制是一種不安全的身份認(rèn)證方式參考答案：(A)解析：生物特征識別技術(shù)雖然具有較高的準(zhǔn)確性和便捷性，但它也面臨著一些挑戰(zhàn)和限制，例如技術(shù)成本高、對環(huán)境要求高、存在隱私問題等，不能簡單地說它是最常見、最安全的技術(shù)。而選項A，身份認(rèn)證協(xié)議確實可分為單向認(rèn)證協(xié)議和雙向認(rèn)證協(xié)議；選項B，基于動態(tài)口令認(rèn)證的方式主要就是動態(tài)短信密碼和動態(tài)口令牌(卡)兩種，能有效提高安全性；選項D，靜態(tài)密碼機制容易被破解，是不安全的身份認(rèn)證方式。2.試題：信息安全管理體系認(rèn)證基于A:國家利益原則B:企業(yè)利益原則C:自愿原則D:強制原則參考答案：(C)解析：信息安全管理體系認(rèn)證通常是基于自愿原則，企業(yè)可根據(jù)自身需求和發(fā)展戰(zhàn)略自主決定是否申請認(rèn)證，以提升自身信息安全管理水平和競爭力，而非強制要求。3.試題：下列選項中，不屬于代碼混淆技術(shù)的是()。A:控制流轉(zhuǎn)換B:數(shù)據(jù)轉(zhuǎn)換C:詞法轉(zhuǎn)換D:語法轉(zhuǎn)換參考答案：(D)解析：代碼混淆技術(shù)在保持原有代碼功能的基礎(chǔ)上,通過代碼變換等混淆手段實現(xiàn)降低代碼的人工可讀性、隱藏代碼原始邏輯的技術(shù)。代碼混淆技術(shù)可通過多種技術(shù)手段實現(xiàn)，包括詞法轉(zhuǎn)換、控制流轉(zhuǎn)換、數(shù)據(jù)轉(zhuǎn)換。故選擇A選項。4.試題：完成用戶代碼請求操作系統(tǒng)服務(wù)的過程，所采用的方法是A:中斷B:系統(tǒng)調(diào)用C:顯示執(zhí)行自陷指令D:異常參考答案：(B)解析：系統(tǒng)調(diào)用是用戶程序請求操作系統(tǒng)服務(wù)的一種方式。用戶程序通過系統(tǒng)調(diào)用接口，傳遞參數(shù)給操作系統(tǒng)內(nèi)核，內(nèi)核根據(jù)調(diào)用的類型執(zhí)行相應(yīng)的操作，從而實現(xiàn)各種系統(tǒng)功能，如文件操作、進(jìn)程管理等。中斷是由硬件事件觸發(fā)的，異常是由于程序執(zhí)行錯誤等原因引起的，自陷指令一般是由程序主動執(zhí)行來陷入內(nèi)核態(tài)進(jìn)行特定操作，但系統(tǒng)調(diào)用是專門用于用戶程序向操作系統(tǒng)請求服務(wù)的常規(guī)機制。5.試題：信息安全管理體系是一個系統(tǒng)化、程序化和文件化的管理體系,它所屬的范疇是A:風(fēng)險管理B:風(fēng)險評估C:風(fēng)險識別D:風(fēng)險控制參考答案：(A)解析：信息安全管理體系是一個系統(tǒng)化、程序化和文件化的管理體系，所屬范疇是風(fēng)險管理。它通過一系列過程對信息安全風(fēng)險進(jìn)行全面管理，包括風(fēng)險識別、風(fēng)險評估、風(fēng)險控制等，以保障信息資產(chǎn)的安全。6.試題：TCSEC將計算機系統(tǒng)安全劃分為()。A:五個等級七個級別B:三個等級七個級別C:四個等級七個級別D:六個等級七個級別參考答案：(C)7.試題：靜態(tài)安全分析技術(shù)檢測源代碼安全缺陷和漏洞的主要優(yōu)勢是A:存在較低的誤報率，但仍然在很大程度上增加了人工分析的工作量B:存在較低的誤報率,但仍然在很大程度上減少了人工分析的工作量C:不需要構(gòu)建代碼運行環(huán)境，分析效率高，資源消耗低D:需要構(gòu)建代碼運行環(huán)境，分析效率高，資源消耗低參考答案：(C)解析：靜態(tài)安全分析技術(shù)檢測源代碼安全缺陷和漏洞時不需要構(gòu)建代碼運行環(huán)境，這樣能有效避免因構(gòu)建運行環(huán)境帶來的資源消耗和時間成本。直接對源代碼進(jìn)行分析，使得分析效率高，資源消耗低。B選項構(gòu)建代碼運行環(huán)境會增加資源消耗和時間成本，不符合靜態(tài)安全分析的優(yōu)勢；C和D選項中提到的誤報率及對人工分析工作量的影響并非靜態(tài)安全分析技術(shù)檢測源代碼安全缺陷和漏洞的主要優(yōu)勢。8.試題：依照時間順序,信息技術(shù)的產(chǎn)生與發(fā)展大致經(jīng)歷了三個階段。下列選項中，不屬于這三個階段的是A:數(shù)據(jù)庫技術(shù)的應(yīng)用B:計算機技術(shù)的發(fā)展C:電訊技術(shù)的發(fā)明D:互聯(lián)網(wǎng)的使用參考答案：(A)解析：信息技術(shù)產(chǎn)生與發(fā)展經(jīng)歷的三個階段為電訊技術(shù)的發(fā)明、計算機技術(shù)的發(fā)展、互聯(lián)網(wǎng)的使用。數(shù)據(jù)庫技術(shù)的應(yīng)用不屬于這三個階段。9.試題：下列選項中，不屬于分布式訪問控制方法的是(),A:基于PKI體系的認(rèn)證模式B:Kerberost協(xié)議C:單點登錄D:SESAME參考答案：(A)10.試題：關(guān)于國家秘密,機關(guān)、單位應(yīng)當(dāng)根據(jù)工作需要,確定具體的A:保密期限、解密時間，或者解密條件B:保密條件、保密期限，或者解密條件C:保密條件、解密條件,或者解密期限D(zhuǎn):保密條件、保密期限，或者解密期限參考答案：(A)解析：機關(guān)、單位應(yīng)當(dāng)根據(jù)工作需要，確定具體的保密期限、解密時間，或者解密條件。國家秘密的保密期限等內(nèi)容的確定需綜合考量工作實際需求，這樣規(guī)定是為了確保國家秘密在合適的時間內(nèi)得到妥善保護(hù)，同時在符合一定條件時能夠及時解密，以適應(yīng)信息公開和工作開展的需要。11.試題：在信息安全管理中的控制策略實現(xiàn)后，接下來要采取的措施不包括()。A:確定安全控制的有效性B:對控制效果進(jìn)行監(jiān)控和衡量C:逐步消減安全控制方面的開支D:估計殘留風(fēng)險的準(zhǔn)確性參考答案：(C)解析：一旦實現(xiàn)了控制策略，就應(yīng)該對控制效果進(jìn)行監(jiān)控和衡量，從而來確定安全控制的有效性，并估計殘留風(fēng)險的準(zhǔn)確性。整個安全控制是一個循環(huán)過程，不會終止，只要機構(gòu)繼續(xù)運轉(zhuǎn)，這個過程就會繼續(xù)，并不是說這方面的預(yù)算就可以減少。故選擇D選項。12.試題：ISO13335標(biāo)準(zhǔn)給出的IT安全六個方面的定義，包含A:審計性、服務(wù)性、高性能B:機密性、完整性、可靠性C:機密性、安全性、可用性D:機密性、一致性、可用性參考答案：(B)13.試題：下列選項中，不能有效檢測采用加殼技術(shù)的惡意程序的是()。A:特征碼查殺技術(shù)B:啟發(fā)式查殺技術(shù)C:虛擬機查殺技術(shù)D:主動防御技術(shù)參考答案：(A)解析：加殼技術(shù)會改變惡意程序的特征碼，使得基于特征碼查殺技術(shù)難以檢測。主動防御技術(shù)可實時監(jiān)控行為進(jìn)行檢測；虛擬機查殺技術(shù)能在虛擬環(huán)境中運行程序分析檢測；啟發(fā)式查殺技術(shù)通過分析程序行為、特征等進(jìn)行檢測，這幾種技術(shù)對于加殼惡意程序都有一定檢測能力。14.試題：信息安全的基本屬性,不包括A:完整性B:可用性C:不可否認(rèn)性D:公開性參考答案：(D)解析：信息安全的基本屬性包括完整性、保密性、可用性、不可否認(rèn)性等。公開性不屬于信息安全的基本屬性，信息安全強調(diào)對信息的保護(hù)，防止信息被未經(jīng)授權(quán)的訪問、泄露、篡改等，而不是公開信息。15.試題：下列攻擊中，消息認(rèn)證不能預(yù)防的是()。A:偽裝B:內(nèi)容修改C:發(fā)送方否認(rèn)D:計時修改參考答案：(C)解析：消息認(rèn)證是指通過對消息或者消息有關(guān)的信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為了防止傳輸和存儲的消息被有意無意的篡改，包括消息內(nèi)容認(rèn)證(即消息完整性認(rèn)證)、消息的源和宿認(rèn)證(即身份認(rèn)證)、及消息的序號和操作時間認(rèn)證等，但是發(fā)送方否認(rèn)將無法保證。故選擇D選項。16.試題：微軟的SDL模型中，最后的(第12)階段是A:產(chǎn)品發(fā)布B:安全響應(yīng)執(zhí)行C:最終安全評審D:組建安全響應(yīng)團(tuán)隊制定安全響應(yīng)計劃參考答案：(B)17.試題：下列功能中，綜合漏洞掃描不包含的是()。A:漏洞掃描B:網(wǎng)絡(luò)端口掃描C:惡意程序掃描D:IP地址掃描參考答案：(C)解析：綜合漏洞掃描主要包括IP地址掃描、網(wǎng)絡(luò)端口掃描、漏洞掃描等功能。惡意程序掃描一般是由專門的惡意軟件檢測工具來完成，不屬于綜合漏洞掃描所包含的功能范疇。18.試題：下列關(guān)于線程的說法中，正確的是()。A:線程是在計算機上運行的-組指令及指令參數(shù)的集合，指令按照既定的邏輯控制計算機運行B:線程是用于組織資源的最小單位,線程將相關(guān)的資源組織在一起，這些資源包括:內(nèi)存地址空間、程序、數(shù)據(jù)等C:線程是程序運行的一個實例，是運行著的程序D:線程是為了節(jié)省資源而可以在同一個進(jìn)程中共享資源的一個執(zhí)行單位參考答案：(D)解析：進(jìn)程是程序運行的一個實例，是運行著的程序，A選項錯誤；線程是為了節(jié)省資源而可以在同一個進(jìn)程中共享資源的一個執(zhí)行單位，B選項正確；進(jìn)程是用于組織資源的最小單位，進(jìn)程將相關(guān)的資源組織在一起，這些資源包括內(nèi)存地址空間、程序、數(shù)據(jù)等，C選項錯誤；程序是在計算機上運行的一組指令及指令參數(shù)的集合，指令按照既定的邏輯控制計算機運行，D選項錯誤。19.試題：能創(chuàng)建基本表和視圖,但是不能創(chuàng)建模式和新用戶的權(quán)限是A:DBA權(quán)限B:CONNECT權(quán)限C:管理員權(quán)限D(zhuǎn):RESOURCE權(quán)限參考答案：(D)解析：RESOURCE權(quán)限允許用戶創(chuàng)建基本表和視圖，但不能創(chuàng)建模式和新用戶。CONNECT權(quán)限主要用于連接數(shù)據(jù)庫；DBA權(quán)限擁有最高權(quán)限，可進(jìn)行各種操作；管理員權(quán)限不是一個具體的數(shù)據(jù)庫權(quán)限類別。20.試題：信息技術(shù)安全評價的通用標(biāo)準(zhǔn)(CC)發(fā)布于A:1982年B:1996年C:1998年D:2004年參考答案：(B)解析：信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）發(fā)布于1996年。CC整合了多個國家的信息技術(shù)安全評價標(biāo)準(zhǔn)，為信息技術(shù)產(chǎn)品和系統(tǒng)的安全性評價提供了一個統(tǒng)一的框架和方法。21.試題：信息安全管理基本技術(shù)要求從五個層面提出:物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、主機安全和A:路由安全B:數(shù)據(jù)安全C:交換安全D:通信安全參考答案：(B)解析：信息安全管理基本技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、主機安全和數(shù)據(jù)安全五個層面提出。路由安全、交換安全、通信安全并不在這五個基本層面之中，所以答案是A。22.試題：下列攻擊手段中，不屬于誘騙式攻擊的是()。A:網(wǎng)站掛馬B:ARP欺騙C:社會工程D:網(wǎng)站釣魚參考答案：(B)解析：ARP欺騙是通過偽造ARP應(yīng)答包，將目標(biāo)主機的網(wǎng)關(guān)MAC地址映射到攻擊者的MAC地址，從而實現(xiàn)中間人攻擊，不屬于誘騙式攻擊。網(wǎng)站掛馬是通過在正常網(wǎng)站中植入惡意代碼，誘使用戶訪問時遭受攻擊；網(wǎng)站釣魚是通過偽造合法網(wǎng)站，誘使用戶輸入敏感信息；社會工程是通過欺騙、誘導(dǎo)等手段獲取用戶信任以獲取敏感信息，均屬于誘騙式攻擊。23.試題：下列訪問控制模型中，支持安全標(biāo)簽的是A:集中訪問控制B:自主訪問控制C:強制訪問控制D:基于角色的訪問控制參考答案：(C)解析：強制訪問控制（MAC）中使用安全標(biāo)簽來標(biāo)識主體和客體的安全級別，根據(jù)安全策略進(jìn)行訪問控制，所以支持安全標(biāo)簽的是強制訪問控制。自主訪問控制（DAC）基于用戶的訪問權(quán)限；基于角色的訪問控制（RBAC）基于角色進(jìn)行權(quán)限管理；集中訪問控制強調(diào)的是集中管理訪問控制策略等，這幾種訪問控制模型一般不直接涉及安全標(biāo)簽。24.試題：關(guān)于信息與知識、信號、數(shù)據(jù)、情報關(guān)系的說法中，錯誤的是A:情報是指秘密的、專門的一類信息，所有的情報都是信息，但信息不一定是情報B:知識是從信息中抽象出的產(chǎn)物，是一種具有普遍性和概括性的信息，是信息的一個特殊子集C:數(shù)據(jù)是記錄信息的-種形式，同樣的信息也可以用文字或圖像表述D:信息是信號的載體，信號是信息所承載的內(nèi)容參考答案：(D)解析：信息是信號的載體，信號是信息所承載的內(nèi)容說法錯誤，應(yīng)該是信號是信息的載體，信息是信號所承載的內(nèi)容。知識是從信息中抽象出的產(chǎn)物，是一種具有普遍性和概括性的信息，是信息的一個特殊子集，A選項正確；數(shù)據(jù)是記錄信息的一種形式，同樣的信息也可以用文字或圖像表述，C選項正確；情報是指秘密的、專門的一類信息，所有的情報都是信息，但信息不一定是情報，D選項正確。25.試題：下列有關(guān)智能卡存儲用戶私鑰的說法中，錯誤的是A:卡片體積小，便于攜帶B:易于全面推廣C:提供了抗修改能力D:比使用口令方式有更高的安全性參考答案：(B)解析：智能卡存儲用戶私鑰具有提供抗修改能力、比使用口令方式有更高的安全性、卡片體積小便于攜帶等優(yōu)點。然而，智能卡也存在一些局限性，比如其技術(shù)成本較高、需要特定的讀卡器設(shè)備等，這些因素導(dǎo)致其難以全面推廣。26.試題：計算機使用應(yīng)遵守的道德規(guī)范，不包括()。A:不制造傳播病毒程序B:不經(jīng)常使用非正版軟件C:不破壞別人的計算機系統(tǒng)資源D:不竊取別人的軟件資源參考答案：(B)解析：計算機使用應(yīng)遵守的道德規(guī)范包括不破壞別人的計算機系統(tǒng)資源、不制造傳播病毒程序、不竊取別人的軟件資源等。不經(jīng)常使用非正版軟件雖然也倡導(dǎo)使用正版軟件，但它不屬于計算機使用道德規(guī)范中直接涉及行為準(zhǔn)則的范疇，而其他選項都是關(guān)于計算機使用過程中對他人權(quán)益和系統(tǒng)安全等方面應(yīng)遵循的道德要求。27.試題：無法將CPU模式從用戶模式轉(zhuǎn)到內(nèi)核模式的是A:中斷B:顯式地執(zhí)行自陷指令C:系統(tǒng)調(diào)用D:異常參考答案：(C)28.試題：美國聯(lián)邦政府2001年頒布的高級加密標(biāo)準(zhǔn)是A:DESB:DSSC:ECCD:AES參考答案：(D)解析：美國聯(lián)邦政府2001年頒布的高級加密標(biāo)準(zhǔn)是AES（高級加密標(biāo)準(zhǔn)），它是一種對稱加密算法，被廣泛應(yīng)用于各種領(lǐng)域的加密需求。DES是之前的一種加密